在现代企业网络架构中,跨地域分支机构之间的安全通信需求日益增长,当两台位于不同物理位置的路由器需要建立稳定、加密的数据通道时,IPSec(Internet Protocol Security)虚拟私有网络(VPN)成为首选方案,本文将详细讲解如何在两台路由器(例如华为AR系列与Cisco ISR系列)之间配置IPSec VPN,确保数据传输的机密性、完整性与身份认证。
明确基础拓扑结构:假设路由器A部署在总部,公网IP为203.0.113.10;路由器B位于分部,公网IP为198.51.100.20,两台设备均通过互联网连接,需建立站点到站点(Site-to-Site)的IPSec隧道,用于互通内网段(如192.168.1.0/24和192.168.2.0/24)。
第一步是预共享密钥(PSK)配置,这是IPSec协商的基础,必须在两台路由器上保持一致,在华为设备上使用命令:
ike local-address 203.0.113.10
ike peer peer1
pre-shared-key simple MySecretKey123Cisco设备则对应:
crypto isakmp policy 10
encryp aes
authentication pre-share
group 2
crypto isakmp key MySecretKey123 address 198.51.100.20第二步是定义IPSec安全策略(Security Association, SA),需指定加密算法(推荐AES-256)、哈希算法(SHA256)和封装模式(ESP),华为配置如下:
ipsec proposal myprop
encryption-algorithm aes-cbc-256
authentication-algorithm sha2-256
esp transform-set mysetCisco则用:
crypto ipsec transform-set MYTRANS esp-aes 256 esp-sha-hmac第三步是创建访问控制列表(ACL),定义受保护的流量范围,仅允许192.168.1.0/24与192.168.2.0/24之间的通信:
acl number 3001
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255第四步绑定策略到接口,并启用NAT穿透(NAT-T),若路由器处于NAT环境(如家庭宽带或云厂商VPC),需启用NAT-T以避免UDP端口被转换破坏IPSec封装:
crypto map MYMAP 10 ipsec-isakmp
set peer 198.51.100.20
set transform-set MYTRANS
match address 3001
set nat-traversal应用到接口并验证,在华为路由器上:
interface GigabitEthernet0/0/1
crypto map MYMAPCisco类似操作,配置完成后,使用display ike sa和display ipsec sa查看状态,确保SA已建立(STATUS为UP),测试时可从总部ping分部内网地址,确认隧道正常工作。
注意事项:
- 确保两端时钟同步(NTP),防止证书过期导致握手失败。
- 若遇问题,检查防火墙是否放行UDP 500(IKE)和UDP 4500(NAT-T)。
- 生产环境中建议使用数字证书替代PSK,提升安全性。
通过以上步骤,两台路由器间即可构建一条高可用的IPSec隧道,为企业提供成本低廉且安全的广域网互联解决方案。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
